So schützen Sie Ihren Mac vor dem Erpressungstrojaner

Eine neue Schad-Software namens KeRanger sorgt fr Aufregung. Erstmals in der Geschichte ist eine sogenannte Ransomware bzw. ein Erpressungstrojaner in der Lage, Dateien auf einem Mac-Rechner zu verschlüsseln. Das Risiko ist zwar gering, dass Sie just dieser verseuchten Datei zum Opfer gefallen sind, dennoch raten wir Ihnen vor allem zu überprüfen, ob Ihr Mac die neusten Sicherheits-Updates in Empfang nimmt. Was ist KeRanger? Nach der Infektion soll KeRanger gemäss den Sicherheitsforschern von Palo Alto Networks sich etwa drei Tage Zeit genehmigen und dann über Server des Tor-Netzwerks Kontakt aufnehmen. Danach beginnt die Malware, bestimmte Dokumente zu verschlüsseln. Opfer erhalten ein Erpresserschreiben mit einer Zahlungsaufforderung auf dem Terminal des Rechners. Infizieren mit KeRanger kann man sich unter Umständen mit dem Installer der Anwendung «Transmission» in der Version 2.90. Transmission ist ein BitTorrent-Programm, dessen Hersteller mittlerweile die befallene Version von der Webseite entfernt hat. Eine erneute Kontamination mit dem Schädling ist bis auf Weiteres nicht mehr möglich. Zumindest hat Apple inzwischen die in OS X integrierte Firewall XProtect um das Schadprotokoll von KeRanger ergänzt. So sollte beim Öffnen eines verseuchten Installationspakets ab sofort eine Warnmeldung darauf hinweisen, dass der Computer damit befallen werden könnte. Damit Mac OS X die Schad-Software-Signaturen nachlädt, müssen folgende Einstellungen im Mac App Store aktiviert sein: Öffnen Sie die Systemeinstellungen, dann den App Store und prüfen Sie, ob die Einträge «Automatisch nach Updates suchen» sowie «Systemdateien und Sicherheits-Updates installieren» angehakt sind. Nächste Seite: Auf Nummer sicher gehen Falls Ihr Mac zeitweise keine automatischen Updates zugelassen hat, können Sie in den Systeminformationen zusätzlich prüfen, ob die in OS X integrierte Schutzfunktion XProtect in Ihrem System schon greift. Suchen Sie im Suchfeld des Finders nach dem Programm Systeminformationen und öffnen Sie es. Klicken Sie im linken Abschnitt auf den Eintrag Installationen. Nun sehen Sie eine Liste sämtlicher Software-Installationen. Klicken Sie rechts oben auf Installationsdatum, um die Liste nach Datum zu sortieren. Halten Sie Ausschau nach dem Eintrag für XProtectPlistConfigData. Dieses Update müsste mindestens seit dem 4. März 2016 eingespielt worden sein - dann ist die Mac-Firewall auf dem neusten Stand. In manchen Fällen kann es auch ein neueres Datum wie der 6. März sein. Hat tatsächlich eine Kontamination mit KeRanger stattgefunden, soll man nach der Anleitung von Palo Alto Networks die Mac-Aktivitätsanzeige nach dem Prozess durchsuchen und diesen in die Knie zwingen. Zuvor sollte überprüft werden, ob noch Überreste der Installation von Transmission existieren. Halten Sie im Finder Ausschau nach /Applications /Transmission.app /Contents /Resources / General.rtf oder /Volumes /Transmission /Transmission.app /Contents /Resources / General.rtf. Ist etwas davon noch vorhanden, muss die infizierte Transmission-App entfernt werden. Die Apple-Prozessanzeige bringen Sie hervor, indem Sie z.B. via Spotlight (CMD+Leertaste) kurz activity.. eintippen. Überprüfen Sie, ob ein Prozess namens kernel_service läuft. Falls ja: Analysieren Sie diesen, wählen Sie Geöffnete Dateien und Ports und prüfen Sie, ob ein Dateiname /Users//Library/kernel_service vorhanden ist. Wenn ja, handelt es sich um den KeRanger-Hauptprozess. Klicken Sie auf Beenden, Sofort Beenden. Danach wird empfohlen zu überprüfen, ob sich die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service noch im Library-Verzeichnis befinden. Falls ja, sollten diese ebenfalls nachträglich gelöscht werden. In der Library werden systemrelevante Daten und Einstellungen auf Ihrem Mac gespeichert. Um diesen Ordner kurzfristig hervorzubringen, öffnen Sie im Finder das Menü Gehe zu und drücken Sie gleichzeitig die Alt-Taste.